инструкция 19 февраля 2027 По состоянию на 19 февраля 2027

Согласие на корпоративный мессенджер с записью

Q: Какие согласия нужно переоформить после 01.09.2025?

Переоформления требуют согласия, включённые в трудовой договор, должностную инструкцию, ПВТР, политику конфиденциальности или любой иной документ. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн должно быть отдельным документом. Согласия, оформленные до 01.09.2025 в виде самостоятельного документа и соответствующие прежним требованиям ст. 9 ФЗ-152, сохраняют силу.

Запись переписки и голосовых переговоров в корпоративном мессенджере — обработка персональных данных работников, требующая отдельного письменного согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025.

С 01.09.2025 согласие нельзя включать в трудовой договор, правила внутреннего распорядка или политику конфиденциальности. Каждый документ — отдельно. Отсутствие согласия или нарушение его формы — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

→ Если вы юрист компании и оформляете ОРД под мессенджер с записью — ниже пошаговая инструкция с обязательными реквизитами, типовыми ошибками и чек-листом.

Корпоративные мессенджеры с функцией записи (Bitrix24, Microsoft Teams, TrueConf, собственные решения) создают двойную правовую ситуацию: работодатель обрабатывает ПДн работников как оператор по ст. 3 ФЗ-152, а запись переговоров дополнительно затрагивает режим тайны переписки. После 01.09.2025 ошибки в форме согласия превратились из формальных в материальные — теперь каждое несоответствие ч. 1 ст. 9 ФЗ-152 образует самостоятельный состав правонарушения.

Шаг 1. Определите, нужно ли согласие или хватает другого основания

Не каждая обработка ПДн в мессенджере требует согласия. Сначала проверьте: какое из 11 оснований ст. 6 ФЗ-152 применимо к вашей ситуации.

Для хранения истории переписки в целях исполнения трудовых обязанностей подходит п. 5 ч. 1 ст. 6 ФЗ-152 — необходимость для исполнения договора, стороной которого является субъект. Трудовой договор прямо охватывает рабочую коммуникацию. Однако запись голосовых и видеопереговоров, а также мониторинг переписки в целях контроля продуктивности выходят за рамки этого основания: они не являются обязательным элементом исполнения трудовой функции и направлены на иные цели работодателя.

Запись звонков и видеоконференций дополнительно затрагивает голос как биометрическую характеристику. Если запись обрабатывается в целях идентификации конкретного лица по голосу — требуется письменное согласие по ст. 11 ФЗ-152. Если запись ведётся исключительно для документирования договорённостей без идентификации — биометрический режим не возникает, но согласие по ст. 9 всё равно необходимо, поскольку основание ст. 6 не покрывает мониторинговые цели.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта на обработку персональных данных должно оформляться отдельным документом и не может быть объединено с иными документами, в том числе с трудовым договором, должностной инструкцией или правилами внутреннего трудового распорядка. Действует с 01.09.2025.»

Правило: если цель обработки выходит за пределы исполнения трудового договора — нужно согласие. Запись переговоров для целей контроля, архивирования, разрешения споров — всегда за пределами.

Шаг 2. Составьте согласие с обязательными реквизитами ст. 9 ФЗ-152

После ФЗ-156 от 24.06.2025 перечень обязательных реквизитов согласия закреплён в ч. 4 ст. 9 ФЗ-152. Отсутствие любого из них означает, что согласие не соответствует требованиям закона и не является действительным правовым основанием.

Обязательные реквизиты для согласия на обработку ПДн в корпоративном мессенджере с записью:

Фамилия, имя, отчество субъекта (работника) и его контактные данные.
Полное наименование и адрес оператора — работодателя.
Цель обработки: формулировать конкретно («документирование рабочих переговоров в корпоративном мессенджере, хранение записей в целях разрешения трудовых споров и внутреннего контроля исполнения поручений»). Общая формулировка «для хозяйственной деятельности» не пройдёт проверку РКН.
Перечень обрабатываемых ПДн: голос (при записи звонков), изображение (при видеозаписи), текст переписки, метаданные (время, участники, длительность).
Перечень действий с ПДн: сбор, запись, хранение, использование, передача (если предусмотрена), уничтожение.
Срок действия согласия или условие его прекращения.
Способ отзыва: «путём подачи письменного заявления работодателю».

Согласие подписывается работником собственноручно на бумажном носителе либо усиленной квалифицированной электронной подписью (УКЭП) в системе КЭДО. Простая электронная подпись и галочка в интерфейсе мессенджера не заменяют письменное согласие.

Согласия уже встроены в трудовые договоры или ПВТР?

Если юрист проверяет кадровую документацию и обнаруживает, что согласия на запись мессенджера включены в договор или регламент — это нарушение ч. 1 ст. 9 ФЗ-152 в редакции с 01.09.2025. Штраф по ч. 2 ст. 13.11 — до 700 000 ₽. У вас есть возможность исправить документы до плановой проверки РКН.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте политику обработки персональных данных по ст. 18.1 ФЗ-152

Согласие на мессенджер с записью — один документ из пакета ОРД. Политика обработки ПДн (ст. 18.1 ФЗ-152) должна отдельно описывать обработку данных работников через системы коммуникаций.

В политике необходимо отразить: категории субъектов (работники, подрядчики, участники переговоров), категории ПДн (голос, изображение, текст), цели обработки по каждой системе коммуникации, наименование мессенджера и его оператора (если данные обрабатываются на серверах вендора), меры защиты и порядок уничтожения записей.

Требование к содержанию политики установлено ч. 2 ст. 18.1 ФЗ-152. Политика должна быть опубликована: для организаций с сайтом — на сайте в открытом доступе; для остальных — в доступном месте (информационный стенд, корпоративный портал). Отсутствие публикации или устаревший текст — штраф 30 000–60 000 ₽ по ч. 3 ст. 13.11 КоАП.

«Ст. 18.1 ч. 2 ФЗ-152: оператор обязан опубликовать политику обработки ПДн в сети интернет или обеспечить неограниченный доступ к документу иным способом. Содержание политики включает цели, правовые основания, состав ПДн, сроки хранения, меры защиты и порядок реализации прав субъектов.»

Шаг 4. Уведомите Роскомнадзор об обработке ПДн по ст. 22 ФЗ-152

Если компания ранее не направляла уведомление РКН или в реестре не отражена обработка ПДн работников через системы записи — необходимо подать уведомление или внести изменения в действующее уведомление.

Форма уведомления утверждена Приказом РКН №180 от 28.10.2022. Подача — через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП. В уведомление включаются: цели обработки, категории субъектов, перечень действий, меры по обеспечению безопасности, сведения о трансграничной передаче (если данные хранятся на серверах зарубежного вендора).

Включение в реестр занимает до 30 дней после подачи уведомления. До момента включения обработка с нарушением уведомительного порядка образует состав по ч. 10 ст. 13.11 КоАП — штраф 100 000–300 000 ₽. Если используется зарубежный мессенджер (Zoom, Teams с хранением за рубежом) — необходимо также уведомление о трансграничной передаче по ст. 12 ФЗ-152 до начала передачи.

Шаг 5. Назначьте ответственного за обработку по ст. 22.1 ФЗ-152

Организация-оператор обязана назначить лицо, ответственное за организацию обработки ПДн. Требования к такому лицу закреплены в ч. 4 ст. 22.1 ФЗ-152: оно должно обладать знаниями в области законодательства о ПДн.

Назначение оформляется приказом по организации с указанием должности, ФИО и полномочий. Ответственный по ст. 22.1 не может быть лицом, чья деятельность связана с непосредственной обработкой ПДн в коммерческих целях (например, отдел продаж или маркетинга). Типичный вариант — юрист, начальник отдела кадров или специалист по ИБ при наличии соответствующей квалификации.

Должностная инструкция ответственного должна включать: взаимодействие с РКН, рассмотрение обращений субъектов, контроль актуальности ОРД, организацию обучения сотрудников. Отсутствие назначенного ответственного при проверке РКН — самостоятельный индикатор нарушения.

Юрист проверяет пакет ОРД под мессенджер: нужен ответственный по ст. 22.1, уведомление РКН и актуальная политика. Срок включения в реестр — до 30 дней. Чем раньше подано уведомление, тем раньше закрыт риск по ч. 10 ст. 13.11.

Заказать аудит 152-ФЗ

Как выглядит нарушение на практике?

Сценарий 1. Согласие включено в трудовой договор. Работодатель разработал типовую форму трудового договора с разделом «Согласие на обработку персональных данных», включающим разрешение на запись переговоров в корпоративном мессенджере. После 01.09.2025 такое согласие не соответствует ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. При проверке РКН инспектор квалифицирует обработку как осуществлённую без надлежащего согласия. Состав — ч. 2 ст. 13.11 КоАП, штраф для юридического лица до 700 000 ₽. Стратегия: вывести согласие в отдельный документ, переподписать со всеми работниками, обновить типовые формы.

Сценарий 2. Мессенджер с хранением на зарубежных серверах без уведомления РКН. Компания использует корпоративный Microsoft Teams с хранением данных в европейском датацентре. Уведомление о трансграничной передаче в РКН не подавалось. При проверке — нарушение ст. 12 ФЗ-152 и ч. 5 ст. 18 ФЗ-152 в части первичного сбора. Риск — штраф 1 000 000–6 000 000 ₽ по ч. 8 ст. 13.11 КоАП. Стратегия: провести инвентаризацию систем, подать уведомление о трансграничной передаче, рассмотреть переход на российское решение или гибридную схему с первичным хранением в РФ.

Сценарий 3. Политика не обновлена после внедрения мессенджера. В компании внедрили новую платформу с записью, но политику обработки ПДн не обновляли два года. В ней не упомянуты голос, изображение и новая система. Жалоба работника → внеплановая проверка РКН → предписание об устранении + штраф по ч. 3 ст. 13.11 за несоответствие политики фактической обработке. Стратегия: ревизия политики при каждом изменении состава систем обработки, не реже раза в год.

Что подготовить юристу под мессенджер с записью

Отдельное согласие на запись переговоров по ч. 4 ст. 9 ФЗ-152 — для каждого работника, подписанное собственноручно или УКЭП.
Актуальная политика обработки ПДн по ст. 18.1 ФЗ-152 с разделом о системах записи коммуникаций — опубликована на сайте или корпоративном портале.
Уведомление РКН по ст. 22 ФЗ-152 с отражением целей и систем записи; при зарубежном хранении — уведомление о трансграничной передаче по ст. 12.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с должностной инструкцией.
Журнал учёта согласий и обращений субъектов — для подтверждения соблюдения сроков ответа по ст. 20 ФЗ-152 (10 рабочих дней).

Частые вопросы

1. Какие документы должны быть у оператора ПДн, использующего мессенджер с записью?

Минимальный пакет: отдельное согласие работника по ст. 9 ФЗ-152, политика обработки ПДн по ст. 18.1, уведомление РКН по ст. 22, приказ о назначении ответственного по ст. 22.1, журнал учёта обращений субъектов. При записи голоса для целей идентификации — дополнительно согласие на биометрию по ст. 11 ФЗ-152. Если мессенджер иностранный с хранением данных за рубежом — уведомление о трансграничной передаче по ст. 12 ФЗ-152.

2. Как составить политику обработки ПДн для системы с записью?

Политика по ч. 2 ст. 18.1 ФЗ-152 должна содержать: цели обработки с привязкой к каждой системе (мессенджер, запись звонков), правовые основания по ст. 6 ФЗ-152 для каждой цели, категории субъектов (работники, подрядчики, гости переговоров), перечень ПДн (голос, изображение, текст, метаданные), сроки хранения записей, меры технической и организационной защиты, порядок уничтожения. Политику обновляют при каждом изменении состава систем или целей обработки.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным назначается лицо с профессиональными знаниями в области законодательства о ПДн — юрист, специалист по ИБ или кадровик при наличии соответствующего образования или повышения квалификации. Нельзя назначать лицо, чья деятельность непосредственно связана с коммерческой обработкой ПДн (маркетинг, продажи). Назначение оформляется приказом. Отсутствие ответственного при проверке РКН — самостоятельное нарушение.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытых источников не учитывает состав фактически применяемых систем, категории обрабатываемых ПДн и цели конкретного оператора. Политика, не соответствующая реальной обработке, при проверке РКН расценивается как нарушение ч. 2 ст. 18.1 ФЗ-152 — даже если документ формально опубликован. Штраф по ч. 3 ст. 13.11 КоАП составляет 30 000–60 000 ₽, а при расхождении с фактической обработкой прибавляется риск по ч. 1 ст. 13.11 (150 000–300 000 ₽).

5. Какие согласия нужно переоформить после 01.09.2025?

Переоформления требуют согласия, которые включены в трудовой договор, должностную инструкцию, ПВТР, политику конфиденциальности или любой иной документ. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн должно быть отдельным документом. Согласия, оформленные до 01.09.2025 в виде самостоятельного документа и соответствующие прежним требованиям ст. 9 ФЗ-152, сохраняют силу — обратной силы закон не имеет.

6. Что проверяет РКН при внеплановой проверке по жалобе работника на запись переговоров?

Инспектор запрашивает: документальное подтверждение согласия работника на запись (отдельный документ после 01.09.2025), политику обработки ПДн с разделом о системах записи, уведомление в реестре операторов, приказ о назначении ответственного, журнал обращений субъектов. Дополнительно проверяется локализация: если сервер мессенджера находится за рубежом и первичная запись ведётся там — это нарушение ч. 5 ст. 18 ФЗ-152.

Итог

Согласие на корпоративный мессенджер с записью — это отдельный документ по ч. 1 ст. 9 ФЗ-152 с конкретными реквизитами, который не может быть частью трудового договора или внутреннего регламента. Помимо согласия, полный ОРД включает актуальную политику по ст. 18.1, уведомление РКН по ст. 22, приказ об ответственном по ст. 22.1 и журнал обращений. При использовании зарубежного мессенджера обязательно уведомление о трансграничной передаче по ст. 12 ФЗ-152.

Практика DATUM по сопровождению HR-операторов включает подготовку полного пакета ОРД под конкретную систему записи коммуникаций, включая анализ архитектуры хранения данных вендора и взаимодействие с РКН при подаче уведомлений.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, включая согласия работников по новым требованиям ст. 9 ФЗ-152.
Аудит соответствия 152-ФЗ — проверка актуальности всего пакета ОРД по чек-листу из 38 пунктов.
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании.

Нужно собрать ОРД под мессенджер с записью?

Юристы DATUM подготовят отдельные согласия по ч. 4 ст. 9 ФЗ-152, обновят политику обработки ПДн, подадут уведомление в РКН и оформят приказ о назначении ответственного по ст. 22.1. Срок — от 5 рабочих дней. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.